IPSEC und Dynamic Routing über RouteBased VPN

Started by matzeeg3, June 14, 2019, 12:51:32 PM

Previous topic - Next topic
Print
Go Down Pages1
User actions
June 14, 2019, 12:51:32 PM
Moin zusammen,

folgendes Scenario
SiteA:
Firewall: Fortigate 6.2.0
Subnetz: 10.10.0.0/23
IPSEC Tunnel zu SiteB

  • IKEV2
  • RouteBased
  • Phase2 0.0.0.0/0<>0.0.0.0/0
  • IP Interface: 10.10.252.1

SiteB
OPNSense 19.1.9
Subnetz: 10.10.253.0/24
IPSEC zu SiteA

  • IKEV2
  • Phase2 RouteBased
  • IP Interface: 10.10.252.2
VPN Tunnel sehen auch gut aus.
Ich bin nach folgender Anleitung vorgegangen:
https://wiki.opnsense.org/manual/how-tos/ipsec-s2s-route.html
Ich sehe sogar Traffic von SiteA an SiteB, er wird auch als pass makiert, ich bekomme jedoch keine Antworten und von SiteB kann ich auch nicht SiteA Erreichen. Ich wollte wenn alles steht gerne mit BGP arbeiten.
Anbei noch Screenshot vom Tunnel.
Wisst ihr was ich falsch mache?

MFG
Matze
June 14, 2019, 01:42:59 PM #1
Hast du auch ne Route gesetzt?
Wenn du auf der OPNsense die 10.10.252.1 pingst, siehst du ESP Pakete rausgehen?
June 14, 2019, 02:16:49 PM #2
Route ist gesetzt, wo sehe ich in der OPNSense die ESP Pakete?
June 14, 2019, 03:21:48 PM #3
In der Console tcpdump auf WAN interface mit host peer IP
June 14, 2019, 08:09:08 PM #4
Obwohl der Tunnel UP ist bekomme ich beim Ping nun Network Down.
In den Routen sehe ich aber die Route zu der einen IP meiner Fortigate.
Kann doch nicht so schwer sein das hin zu bekommen ^^

TCP Dump gibt somit leider nichts aus
June 14, 2019, 08:59:18 PM #5
ipsec.log? Geht der Tunnel denn mit policy based IPsec?
June 16, 2019, 03:26:40 AM #6
ohne gehts.

im log finde ich:
charon: 14[KNL] <con1|2> querying policy 0.0.0.0/0 === 0.0.0.0/0 in failed, not found
June 20, 2019, 04:18:26 PM #7
So Fehler gefunden. VPN klappt nur wenn beide seiten eine Static IP oder DynDNS haben.
Print
Go Up Pages1
User actions